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Beschreibung 

Verfahren zur Steuerung und Auswertung eines Nachrichtenver- 
kehrs einer Kommunikationseinheit durch eine erste Netzwerk- 
einheit innerhalb eines Mobilf unksystems, dazugehorige Kommu- 
nikationseinheit und erste Netzwerkeinheit 

Der Erfindung liegt d±e Aufgabe zugrunde, die Steuerung und 
Auswertung des Nachrichtenverkehrs einer Kommunikationsein- 
heit durch eine erste Netzwerkeinheit innerhalb eines Mobil- 
funksystems in einfachier und effizienter Weise bereitzustel- 
len. Diese Aufgabe wird durch folgendes erf indungsgemafie Ver- 
fahren gelost: 

Verfahren zur Steuerung und Auswertung eines Nachrichtenver- 
kehrs einer Kommunikationseinheit durch eine erste Netzwerk- 
einheit innerhalb eines Mobil funksys terns , indem alle Nach- 
richten des Nachrichtenverkehrs liber die erste Netzwerkein- 
heit geschickt werden A indem durch die erste Netzwerkeinheit 
mit Hilfe einer oder mehrerer Nutzungsinf ormationen der Kom- 
munikationseinheit KE entschieden wird, ob eine oder mehrere 
Nachrichten an eine zweite Netzwerkeinheit zur Weiterbearbei- 
tung weitergeleitet ocier abgeblockt werden, und indem durch 
die erste Netzwerkeinheit mit Hilfe einer oder mehrerer Nut- 
zungsinf ormationen dear Kommunikationseinheit entschieden 
wird, ob die jeweilige Nachricht des Nachrichtenverkehrs 
durch die erste Netzwerkeinheit in einer Protokolldatei pro- 
tokolliert wird. 

Durch das erf indungsgemaUe Verfahren wird in vorteilhaf ter 
Weise der Nachrichtenverkehr einer Kommunikationseinheit ge- 
steuert und ausgewertet. Unter Zuhilfenahme von einer oder 
mehreren Nutzungsinf ox-mat ion en der jeweiligen Kommunikations- 
einheit konnen fur veirschiedene Kommunikationseinheit en un- 
terschiedliche und incdividuelle Entscheidungsregeln zurr Steu- 
erung und Auswertung herangezogen werden. 
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Des Weiteren wird durch das erf indungsgemaAe Verfahren in 
vorteilhafter Weise die Protokollierung des Nachrichtenver- 
kehrs einer Applikation der jeweiligen Koramunikatxonse.nhext 
erm6glicht. Da die Protokollierung auf Applikationsebene 
durchgeflihrt wird, kann die Protokollierung von d- 
einzelnen Nachrichten enthaltenen Inhalt, also den Nachrxch 
tendaten, abhangig gemacht werden. So kann M 
lierung die Datenmenge von Nachrichten mit multxmedxalem In 
halt, wie z.B. Videosequenzen oder Sprachauf zeichnungen als 
kostenpflichtiges Datenvolumen registriert werden und Hach 
richten .it Steuerinf orn.ationen von der Protokollierung aus 
geschlossen werden. 

Die Erfindun, betrifft weiterhin auch eine erate Netzwerkein- 
heit zur steuerung und Auswertung eines Nachrichtenverkehra 
einer Kca^unikationaeinheit innerhalb einez Mobilfunkayztema, 
m it einer Empf angseinheit, «dttels der alle Nachrichten dea 
Nachrichtenverkehra der Kommunikationzeinheit empfangbar 
zind, It einar Sendeeinheit, nittela der alia Nachrichten 
dea Nachrichtenverkehra abzendbar aind, und fit einer Verar 
beitungaeinheit, mittela der entacheidbar iat, ob nxndeatena 
eine Nachricht dea Nachrichtenverkehra aufgrund erner Oder 
m ehrerer Nutzun g zinrorn,ationen der Konm^ikationaeinheit an 
eine zweite Netzwerkeinheit zur Weiterbearbeitung wezterge 
leitet oder abgeblockt wird, und mittela der entacheidbar 
ist, ob zdndeztene eine Nachricht dea Nachrichtenverk ehra 
auf rund einer oder mehrerer Nutzungeinf optionee der Ko™nu 
nikationaeinheit durch die erate Netzwerkeinheit in einer 
Protokolldatei protokolliert wird. 

Die Erfindung betrifft auch eine Korcmunikationaeinheit bei 
der durch eine erate Netzwerkeinheit der Nachrrchtenverkehr 
innerhalb einea Mobilfunkayztez-z geateuert und "^awertet 
wird, nit einer Empfangaeinheit, -ittela der alle m**""**" 
dea Nachrichtenverkehra empfangbar aind, und mit 
einheit, nittels der alle Nachrichten dea Nachrichtenverkehra 

absendbar sind. 
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Sonstige Weiterbildungen der Erfindung sind in den Unteran- 
spruchen wiedergegeben. 

Die Erfindung und ihre Weiterbildungen werden nachfolgend an- 
hand von Zeichnungen naher erlautert. 

Es zeigen : 



Figur 1 in schematischer Darstellung eine Anordnung zur 

Steuerung und Auswertung eines Nachrichtenverkehrs 
einer Kommunikationseinheit durch eine Netzwerkein- 
heit, die sich aus einer Gruppe von Netzwerkelenien- 
ten zusammensetzt, innerhalb eines Mobilfunksystems 
nach einer ersten Variante des erf indungsgemaiien 
Verfahrens sowie zugehorige Modif ikationen, 

Figur 2 ein Ablauf diagramm eines moglichen Nachrichtenver- 
kehrs fur ein Anwendungsbeispiel nach Figur 1, 

Figur 3 in schematischer Darstellung ein moglicher Aufbau 

einer abgerufenen Nutzungsinf ormation mit zwei Nut- 
zeridentitaten, 



Figur 4 in schematischer Darstellung eine Anordnung zur 

Steuerung und Auswertung eines Nachrichtenverkehrs 
einer Kommunikationseinheit durch eine Netzwerkein- 
heit, die sich aus einer Gruppe von Netzwerkelemen- 
ten zusammensetzt, innerhalb eines Mobilfunksys- 
tems r unter Verwendung des IMS-Standards nach einer 
weiteren Variante des erf indungsgemaflen Verfabrens, 
sowie zugehorige Modif ikationen, 

Figur 5 ein Ablauf di a gramm eines moglichen Nachrichtenver- 
kehrs fur ein Anwendungsbeispiel nach Figur 4 r 
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Figur 6 eine mogliche Erganzung des Ablaufdiagramms fur ein 
Anwendungsbeispiel nach Figur 5, und 

Figur 7 ein mogliches Ablaufdiagramm eines Nachrichtenver- 
kehrs fiir ein weiteres Anwendungsbeispiel, bex dem 
Nachrichten alt SIP-Signalisierung und Nachrichten 
mit Nutzdaten, zwischen Kommunikationseinhext und 
Netzwerkeinheit, assoziiert werden. 

1. Erstes Ausfuhrunqrsbeispiel 
1.1 Vorri chtung 

^x^urTTsfeine erste m6gliche Vorrichtung zur Ausfuhrung 
des erfindungsgemafien Verfahrens dargestellt. Figur 1 zeigt 
eine vereinfachte Darstellung einer moglichen Netzwerkarchx- 
tektur. in der Mitte von Figur 1 befindet sich ein H^etz- 
werk HN (HN - Home Network) einer Kommunikationsexnhext KB, 
die sich in Figur 1 in einem besuchten Netzwerk VN (VN - Vi- 
sited Network) aufhalt. Dieser Fall ist im Allgemeinen auch 
als "Roaming" bekannt. Das Heimnetzwerk HN und das besuchte 
Netzwerk VN befinden sich in einem Mobilfunksystem MS. Dxe 
Kommunikationseinheit KE ist beispielsweise in einem Funkge- 
rat nach GSM-Standard (GSM - Global System for Mobxle) oder 
UMTS-Standard (UMTS - Universal Mobile Telecommunicatxons 
System) untergebracht . Diese Kommunikationseinheit KEerlaubt 
das Senden von Nachrichten mittels seiner Sendeexnhext SEl 
als auch das Empfangen von Nachrichten mittels seiner Emp- 
fangseinheit EE1 . Des Weiteren verfugt die Ko ^ ika ^^!^ 
heit KE uber eine Verarbeitungseinheit VEl, dxe das Ausfuhren 
z.B. einer Application AP zulasst. Diese Application AP xst 
insbesondere eine Browser-Anwendung oder eine ^sh-to-Tal k 
Anwendung. Die Empf angseinheit EEl, die Sendeeinhext SEl und 
die Verarbeitungseinheit VB1 sind mittels eines Verbxndungs 
netzwerkes XNl verbunden und damit in der Lage, Informatxonen 
aus zut auschen . 

Die Ko.munilcationseinbeit KE ist im besuchten Netzwerk VN mit 
einen. ersten Netzwerkelement NW1 uber eine erste Verbxndung 
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Vl verbunden. Dieses erste Netzwerkelement NW1 ist insbeson- 
dere ein GGSN (GGSN - Gateway GPRS Support Node) (GPRS - Ge- 
neral Packet Radio System) . Diese erste Verbindung VI wird 
mit Hilfe der Prozedur mit einem Namen PDP Context Activation 
Procedure (PDP - Packet Data Protocol) aufgebaut, wie sie in 
3GPP (3GPP - 3rd Generation Partnership Project) TS 23.060 
Version 5.3.0 "General Packet Radio Service GPRS", Stage 2 
beschrieben ist. Wahrend des Aufbaus dieser ersten Verbindung 
VI wird festgelegt, dass diese erste Verbindung VI lediglich 
fur den Austausch von Nachrichten, wie z.B. Nachrichten mit 
Nutzdaten ND, zwischen der Kommunikationseinheit KE und dem 
ersten Netzwerkelement NW1 verwendet werden darf . Als Nutzda- 
ten ND sind vorzugsweise Daten, wie z.B. ein Bild oder eine 
Sprachauf zeichung, j edoch keine Signalisierungsinf ormat ionen 
zu verstehen. Alle Nachrichten mit Nutzdaten ND, die auf die- 
ser ersten Verbindung VI gesendet werden, werden automatisch 
von dem ersten Netzwerkelement NW1 tiber eine zweite Verbin- 
dung V2 an ein zweites Netzwerkelement NW2 weitergeleitet . 
Das zweite Netzwerkelement NW2 ist vorzugsweise ein Daten- 
Gateway . 

Das zweite Netzwerkelement NW2 hat zum einen eine vierte Ver- 
bindung V4 in ein of fentliches, paket-orientiertes Netzwerk 
PN (PN - Public Network), wie beispielsweise dem Internet. 
Das offentliche, paket-orientierte Netzwerk PN umfasst bei- 
spielsweise eine zweite Netzeinheit NE2, wie z.B. einen Ser- 
ver mit Videosequenzen . Zum anderen existiert auch. eine drit- 
te Verbindung V3 zu einem dritten Netzwerkelement NW3, Wel- 
ches sich im Heimnetzwerk HN der Kommunikationseinheit KE be- 
findet. Das dritte Netzwerkelement NW3 ist vorzugsweise ein 
Da ten-Gateway . 

Weiterhin ist das dritte Netzwerkelement NW3 mit einer Daten- 
bank HSS, vorzugsweise einem Home Subscriber Service, tiber 
eine ftinfte Verbindung V5 vernetzt. Diese Datenbank HSS bein- 
haltet nutzerbezogene Inf ormationen der Kommunikationsednheit 
KE. Aufierdem ist das dritte Netzwerkelement NW3 iiber eine 
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sechste Verbindung V6 mit dem of f entlichen, paket-orxentxer- 
ten Netzwerk PN verbunden. Zusatzlich kann das zwexte Netz- 
werkelement NW2 im besuchten Netzwerk VN direkt ait der Da- 
tenbank HSS verbunden sein. Dies ist in Figur 1 mit exner ge- 
strichelten sxebten Verbindung V7 angedeutet. 

Eine erste Netzwerkeinheit NE1 kann aus mehreren Netzwerkele- 
menten NEE bestehen. In Figur 1 umfasst das erste ™rk- 
element NEl das erste, zweite und dritte Netzwerkelement NW1, 
NW2, NW3 . Fur den Fall, dass sich die Kommunikationsexnhext 
KE in ihrem Heimnetzwerk HN befindet, kann das zwexte und 
dritte Netzwerkelement NW2 bzw. NW3 in einem einz.gen Netz- 
werkelement untergebracht sein, das die Funktionalxtaten des 
zweiten und dritten Netzwerkelements NW2 bzw. NW3 abdeckt 
Die erste Netwerkeinheit NEl umfasst eine Sendeexnhext SE2 
zum Ubermitteln von Nachrichten und eine Empf angsexnhext EE2 
zum Entgegennehmen von Nachrichten. Daneben beinhaltet sxe 
eine Verarbeitungseinheit VE2 zur Steuerung und Auswertung 
eines Datenverkehrs der Applikation AP der Kommunikationsexn- 
heit KE. Die Sendeeinheit SE2, die Empf angseinhext EE2 una 
die Verarbeitungseinheit VE2 konnen mittels eines Verbxn 
dungsnetzwerkes XN2 Informationen austauschen. In Fxgur 1 
enthalt jedes Netzwerkelement NEE jeweils eine eigene Sende- 
einheit, eine eigene Empf angseinheit, eine eigene Verarbex- 
tungseinheit und ein eigenes Verbindungsnetzwerk. Exempla- 
risch ist in Figur 1 fur das zweite Netzwerkelement NW2 dxe 
Sendeeinheit SE2, die Empf angseinheit EE2, die Verarbextungs- 
einheit VE2 und das Verbindungsnetzwerk XN2 abgebxldet. 



l_? Anfra genachricht . 
Mit Hilfe von Figur 1 wird im Folgenden die Authentxf xzxerung 
einer Kommunikationseinheit naher erlautert. Diese Authe "^' 
fizierung ist notwendig, damit das zweite Netzwerkelement NW2 
feststellen kann, ob eine Kommunikationseinheit tatsachlxch 
die ist, fur die sie sich ausgibt und ob diese Kommunxkatx- 
onseinheit berechtigt ist, Nachrichten uber das zwexte Netz- 
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werkelement NW2 mit dem of f entlichen, paket-orientierten 
Netzwerk PN auszutauschen. 

In Figur 2 wird ein Ablaufdiagramm eines moglichen Nachrich- 
tenverkehrs dargestellt, der fur die Authentif izierung not- 
wendig ist. Insbesondere wird hierbei auf die Problematik des 
Nachrichtenaustauschs zwischen der Kommunikationseinheit KE 
und dem of f entlichen , paket-orientierten Netzwerk PN einge- 
gangen . 

Wenn die Kommunikationseinheit KE Nachrichten, zum Beispiel 
Nachrichten mit Nutzdaten ND, vom of f entlichen, paket- 
orientierten Netzwerk PN anfordert, oder Nachrichten an die- 
ses versenden mochte, schickt die Kommunikationseinheit KE 
eine Anf ragenachricht AN an das zweite Netzwerkelement NW2 - 
Fur den Fall, dass das HTTP-Protokoll (HTTP - Hyper Text 
Transfer Protocol) verwendet wird, handelt es sich bei dieser 
Anf ragenachricht AN urn einen HTTP-Request. In dieser Anf rage- 
nachricht AN ist eine Empf angeradresse EA enthalten, von der 
Nutzdaten ND angefordert und/oder geschickt werden. Die Emp- 
fangeradresse EA kann in Form einer URI (URI - Unique Resour- 
ce Indentifier) gestaltet sein. Zur Authentif izierung der 
Kommunikationseinheit KE kann ein Mechanismus nach IETF (IETF 
- International Engineering Task Force) RFC (RFC - Request 
For Comments) 3310 "Hyper Text Transfer Protocol (HTTP) Di- 
gest Authentif ication Using Authentif ication And Key Agree- 
ment (AKA)", siehe www.ietf.org, verwendet werden. Dazu wird 
in die Anf ragenachricht AN eine Inf ormationszeile mit einem 
Namen "Authorization" eingefiigt. Diese umfasst unter anderem 
auch Inf ormationen uber eine Nutzeridentitat NID. 

1 . 3 Nutzeridentitat 

Eine Nutzeridentitat NID stellt eine eindeutige Kennzeichnung 
einer bestimmten Kommunikationseinheit, z.B. der Kommunikati- 
onseinheit KE, dar. Aufgrund der Inf ormationszeile mit dieser 
Nutzidentitat NID kann das zweite Netzwerkelement NW2 in ei- 
nem ersten Entscheidungsschritt Al feststellen, zu welchem 
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Netzwerk, z.B. dem Heimnetzwerk HN, die Kommunikationseinheit 
KE gehort. AuBerdem wird festgestellt, ob das zweite Netz- 
werkelement NW2 bereits eine oder mehrere Authentif izierung- 
sinformationen fur die anfragende Kommunikationseinheit KE 
gespeichert hat. Da das zweite Netzwerkelement NW2 noch uber 
keine derartigen Authentif izierungsinf ormationen verfugt, 
leitet daher das zweite Netzwerkelement NW2 die Anfragenach- 
richt AN an die dritte Netzwerkeinheit NW3 weiter. Es wird 
davon ausgegangen, dass die dritte Verbindung V3 gesichert 
ist und kein Dritter die Moglichkeit hat, Nachrichten abzu- 
fangen, zu verandern oder zu lesen. 

1.4 Nutzunqsinformation 

im folgenden Schritt erfragt das dritte Netzwerkelement NW3 
nit einer dritten Nachricht N3, die die Nutzeridentitat MID 
umfasst, bei der Datenbank HSS vorzugsweise folgende Nut 
zungsinf ormationen NI fur die Kommunikationseinheit KE ab: 

- Bin oder mehrere zweite Schlussel SP2, die zu Authentafi- 
zierung und Verschlusselung von Nachrichten fur die Kommu- 
nikationseinheit KE von dem zweiten Netzwerkelement NW2 be- 

nutzt werden sollen; 

- Eine Herausforderung HEF, die zur Authentif izierung durch 
die Kommunikationseinheit KE benutzt werden soil, siebe 
beispielsweise IETF RFC 3310; 

- Eine oder mehrere Filteranweisungen FW. 

Im Folgenden wird angenommen, dass lediglich ein zweiter 
Schlussel SP2 von der Datenbank DB abgefragt wird. 



1.5 Filteranweisung 

Diese Filteranweisungen FW umfassen insbesondere eine oder 
mehrere der folgenden Kriterien: 

- Eine Oder mehrere positive Empf angeradressen PEA, die von 
der Kommunikationseinheit KE adressierbar sind; 

- Eine Oder mehrere negative Empf angeradressen NEA, die von 
der Kommunikationseinheit KE nicht adressierbar sind; 

- Eine oder mehrere zu protokollierende Empf angeradressen 
XEA, die von der ersten Netzwerkeinheit NE1 protokolliert 
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werden sollen. In Figur 1 wird die Protokollierung durch 
das zweite Netzwerkelement NW2 durchgef uhrt . 

Mit Hilfe dieser Filteranweisungen FW wird es dem zweiten 
Netzwerkelement NW2 ermoglicht, den Zugang der Kommunikati- 
onseinheit KE auf eine oder mehrere bestimmte Empfangerdres- 
sen EA im of f entlichen, paket-orientierten Netzwerk PN zu be- 
schranken. Zusatzlich konnen diese Filteranweisungen FW auch 
dazu verwendet werden, dem zweiten Netzwerkelement NW2 mitzu- 
teilen, Zugriffe auf bestimmte Empf angerdressen EA separat 
von anderen Zugriffen zu erfassen. Da einer Kommunikations- 
einheit KE mehrere Nutzeridentitaten NID zugeordnet sein kon- 
nen, konnen eine oder mehrere Filteranweisungen FW explizit 
einer bestimmten Nutzeridentitat NID zugeordnet werden. So 
ist zweckmafiigerweise jeweils eine Nutzeridentitat NID je- 
weils einer Applikation AP zugeordnet. 

Mit Hilfe einer vierten Nachricht N4 werden diese Nutzungsin- 
formationen NI von der Datenbank HSS an das dritte Netzwerk- 
element NW3 ubertragen. Das dritte Netzwerkelement NW3 sendet 
im Folgenden diese Nutzungsinf ormationen NI in einer fiinften 
Nachricht N5 an das zweite Netzwerkelement NW2 . Fur den Fall, 
dass dafiir das HTTP-Protokoll verwendet wird, wird diejenige 
Nutzungsinformation NI, die zur Herausf orderung HEF der Kom- 
munikationseinheit KE bestimmt ist, in eine Informationszeile 
mit einem Namen "WWW-Authenticate" eingefiigt, siehe IETF RFC 
3310 und IETF RFC 2617 "HTTP Authentif ication : Basic and Di- 
gest Access Authentif ication" . In analoger Weise werden alle 
zweiten Schlussel, die zur Verschlusselung, zur Authentif i- 
zierung und zur Sicherung der Integritat benotigt werden, be- 
handelt. Zusatzlich kann in dieser fiinften Nachricht N5 eine 
zu erwartende Antwort AEH auf die Herausf orderung HEF enthal- 
ten sein. Dies ermoglicht dem zweiten Netzwerkelement NW2, 
eine von der Kommunikationseinheit KE aufgrund der Herausf or- 
derung HEF gesendeten Antwort AGH bezuglich ihrer Richt±gkeit 
mit der erwarteten Antwort AEH zu prufen. In diesem Fall ist 
die Weiterleitung dieser Antwort AGH an das dritte Netzwerk- 
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element NW3 zur ttberpriifung der Echtheit nicht mehr notwen- 
dig. 

Eine Oder mehrere Filteranweisungen FW konnen in einem neuen 
Typ von NachrichtenkSrper in dieser funften Nachricht N5, dxe 
beispielsweise unter Verwendung des HTTP-Protokolls in Form 
einer HTTP-Nachricht gebildet wird, enthalten sein. Dieser 
neue Typ von Nachrichtenkorper ist tiber eine eindeutige Be 
schreibung identifizierbar . Dies ist in der Praxis zweckma- 
Jiig, da diese eindeutige Beschreibung in der eigentlxchen 
HTTP-Nachricht in einer Informationszeile mit einem Namen 
"Content-Type" enthalten ist, die beispielsweise nach dem 
Standard IETF RFC 2045 "Multipurpose Internet Mail Extensions 
(MIME) Part One: Format of Internet Message Bodies" gebxldet 
wird. Daduroh wird es dem zweiten Netzwerkelement NW2 ermog- 
licht, lediglich anhand dieser eindeutigen Beschreibung den 
inhalt der HTTP-Nachricht festzustellen, beispielsweise ob 
Filteranweisungen FW darin enthalten sind. 

Figur 3 zeigt beispielhaft die Struktur mehrerer Filteranwei- 
sungen FW, die in einem Nachrichtenkorper NK enthalten sxnd. 
Dieser Nachrichtenkorper NK umfasst jeweils zwei Listen Lll, 
L12 bzw. L21, L22 fur jede Nutzeridentitat NIDI bzw. NID2. 
Die jeweilige erste Liste Lll bzw. L21 der jeweiligen Nutzer- 
identitat NIDI bzw. NID2 umfasst eine Liste von zu protokol 
lierenden Empf angeradressen XEA. Die jeweilige zweite Lxste 
L12 bzw. L22 der jeweiligen Nutzeridentitat NIDI bzw. NID2 
gibt eine oder mehrere negative Empf angeradressen NEA an, dxe 
von der Kommunikationseinheit KE nicht adressierbar sxnd 
und/oder eine oder mehrere positive Empf angeradressen PEA, 
die von der Kommunikationseinheit KE adressierbar sxnd. 

Nach Empfang der funften Nachricht N5 entnimmt das zweite 
Netzwerkelement NW2 in einem zweiten Schritt A2 den ^exten 
Schlussel SP2 aus der Informationszeile mit einem Namen WWW- 
Authenticate" . Anhand der Informationszeile mit einem Namen 
"Content-Type" erkennt das zweite Netzwerkelement NW2, class 
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irn Nachrichtenkorper NK eine oder mehrere Filteranweisungen 
FW enthalten sind, und entnimmt dies ebenfalls. AnschlieBend 
iibermittelt das zweite Netzwerkelement NW2 diese modifizierte 
flinfte Nachricht N5 als sechste Nachricht N6 an die Korranuni- 
kationseinheit KE. Die Kommunikationseinheit KE entnimmt im 
Folgenden die Herausf orderung HEF aus der Inf ormationszeile 
mit einem Namen "WWW-Authenticate" . Mit Hilfe einer oder meh- 
rerer, auf einer SIM-Karte (SIM - Subscriber Identication Mo- 
dule) der Kommunikationseinheit KE gespeicherten Informatio- 
nen, wird nun ein passender erster Schlussel SP1 berechnet, 
der fur die Verschlusselung der Nachrichten zwischen der Kom- 
munikationseinheit KE und dem zweiten Netzwerkelement NW2 so- 
wie fur die Authentif izierung und Sicherung der Integritat, 
verwendet werden kann. Der erste Schlussel SP1 und der dazu- 
gehorige zweite Schlussel SP2 bilden ein zusammengehoriges 
Schlusselpaar SCP. AuBerdera berechnet die Kommunikationsein- 
heit KE mit Hilfe des ersten Schlussels SP1 die Antwort AGH 
auf die Herausf orderung HEF. 

1 . 6 Modifizierte Anf ragenachricht 

In einem nachsten Schritt schickt die Kommunikationseinheit 
KE eine modifizierte Anf ragenachricht ANM an das zweite Netz- 
werkelement NW2 . Fur den Fall f dass fur die modifizierte An- 
f ragenachricht ANM die HTTP-Syntax verwendet wird, entspricht 
diese modifizierte Anf ragenachricht ANM einem HTTP-Request. 
Diese modifizierte Anf ragenachricht ANM umfasst sowohl die 
Empf angeradresse EA, von der der Kommunikationseinheit KE 
Nutzdaten ND zugesandt werden sollen, als auch eine Informa- 
tionszeile mit einem Namen "Authorization". Diese Informati- 
onszeile enthalt neben der Nutzeridentitat NID auch die Ant- 
wort AGH auf die Herausf orderung HEF. 

Nach Empfang der modif izierten Anf ragenachricht ANM uberpriift 
das zweite Netzwerkelement NW2 in einem dritten Entschei- 
dungsschritt A3 anhand der in der Inf ormationszeile mit einem 
Namen "Authorization" enthaltenen Nutzeridentitat NID, ob das 
zweite Netzwerkelement NW2 bereits Authentif izierungsinf orma- 
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tionen fur diese Kommunikationseinheit KE gespeichert hat. 
Dies ist nun nach Durchlaufen der vorherigen Schritte dieses 
Ausfiihrungsbeispiels gegeben. Daher entnimmt das zweite Netz- 
werkelement NW2 der modif izierten Anfragenachricht ANM die 
informationszeile mit einem Namen "Authorization". Mit Hilfe 
der im zweiten Netzwerkelement NW2 gespeicherten zweiten 
Schliissel SP2 wird in einem nachsten Schritt die Richtigkeit 
der Antwort AGH auf die Herausf orderung HEF iiberpriift. Falls 
die iibermittelte Antwort AGH nicht korrekt ist, wird die mo- 
di fizierte Anfragenachricht ANM mittels einer zehnten Nach 
richt N10 abgewiesen. Ergibt diese Oberpriifung eine korrekte 
ubereinstimmung mit der erwarteten Antwort AEH auf die Her- 
ausf orderung HEF, so wird in einem vierten Entscheidungs 
schritt A4 gepriift, ob die in der modif izierten Anfragenach- 
richt ANM enthaltene Empfangeradresse EA fiir die Kommunikatx 
onseinheit KE adressierbar ist. Fur den Fall, dass diese Emp- 
fangeradresse EA mit einer negativen Empfangeradresse NEA u- 
bereinstimmt, wird die modifizierte Anfragenachricht ANM zur 
tibermittlung von Nutzdaten ND abgelehnt. Dies wird der Kommu 
nikationseinheit KE mittels einer zehnten Nachricht N10 mit 
geteilt. Alternativ kann anstelle der Uberpriifung der Empf an 
geradresse EA mit Hilfe von mindestens einer negativen Emp 
f angeradresse NEA, die Priifung anhand von mindestens einer 
positiven Empfangeradresse PEA stattfinden. Hierbei wird ge 
pruft, ob die Empfangeradresse EA einer positiven Empfanger 
adresse PEA entspricht. Falls dies nicht zutrifft, wird die 
modifizierte Anfragenachricht ANM abgelehnt. 

1.7 Protokollierung 

Fiir den Fall, dass die Empfangeradresse EA adressierbar ist, 
wird weiterhin gepriift, ob die Empfangeradresse EA einer zu 
protokollierenden Empfangeradresse XEA entspricht, fur die 
das zweite Netzwerkelement NW2 die Datenmenge separat erfas- 
sen soil. 1st dies der Fall, wird ein neuer erster Datensatz 
DS1 zum Datenaufkommen im zweiten Netzwerkelement NW2 ange 
legt, der vorzugsweise mindestens folgende Datensatzelemente 
umfasst : 
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- Eindeutige Identitat des Datensatzes; 

- Empfangeradresse EA, auf die die Kommunikationseinheit KE 
zugreift; 

- Da t enmen ge ; 

5 - Anzahl der Zugriffe auf diese Empfangeradresse EA. 

Entspricht die Empfangeradresse EA keiner zu protokollieren- 
den Empfangeradresse XEA, so wird ein neuer zweiter Datensatz 
DS2 zum Datenauf kommen angelegt r der vorzugsweise folgende 
Datensatzelemente umfasst: 

- eindeutige Identitat des Datensatzes ; 

- Datenmenge . 

Dieser zweite Datensatz DS2 bzw. das Datensatzelement mit der 
Angabe der Datenmenge wird immer dann aktualisiert, wenn zwi- 
schen der Kommunikationseinheit KE und einer Empfangeradres- 
sen EA eine Oder mehrere Nachrichten, die moglicherweise 
Nutzdaten ND umfassen, ausgetauscht werden, die laut entspre- 
chender Filteranweisung FW keiner zu protokollierenden Emp- 
fangeradresse XEA entsprechen. 

Alle ersten bzw. zweiten Datensatze DS1 bzw. DS2 werden in 
einer Protokolldatei PD auf einem Speicherelement SM gespei- 
chert . 

25 Anschliefiend wird aus der modif izierten Anf ragenachricht ANM 
eine achte Nachricht N8 generiert, die an eine nachgeschalte- 
te zweite Netzwerkeinheit NW2 bzw. an eine durch die Empfan- 
geradresse EA adressierte Einheit weitergeleitet wird. Diese 
zweite Netzwerkeinheit NE2 befindet sich im of f entlichen, pa- 

30 ket-orientierten Netzwerk PN. Die Antwort auf diese achte 

Nachricht N8, in Figur 2 als neunte Nachricht N9 realisiert, 
wird nach Empfang durch das zweite Netzwerkelement NW2 dem 
entsprechenden Datensatz DS1 bzw. DS2 zugeordnet, mit diem be- 
reits die modifizierte Anfragenachricht ANM protokolliert 

35 wurde. Im Anschluss daran wird durch das zweite Netzwerkele- 
ment NW2 die neunte Nachricht N9 mittels einer siebten Nach- 
richt N7 an die Kommunikationseinheit KE weitergeleitet . 
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1 8 Auswertuncr der Protokol ldatei 

i^Telnem spateren Zeitpunkt kann das zweite Netzwerkelement 
NW2 die Protokolldatei PD uber eine achte Verbindung V8 mxt- 
tels einer Protokollnachricht PDN an eine Auswerteeinhext 
AWE, beispielsweise eine Vergebvihrungss telle, weiterlexten . 
Diese Auswerteeinheit AWE wertet einen oder mehrere erste 
bzw. zweite Datensatze DSl bzw. DS2 der Protokolldatex PD 
aus , urn daraus beispielsweise eine Rechnung fur die Kommunx- 
kationseinheit KE zu erstellen. 

AuBerdem konnen ein oder mehrere erste bzw. zweite Da * en ^ 
DSl bzw. DS2 zum Datenauf kommen durch die Auswerteexnhext AWE 
derart ausgewertet werden, dass daraus Steuerinformationen 
2U r Optimierung des Datenverkehrs innerhalb eines oder mehre- 
rer Netzwerke, wie beispielsweise fur das Heimnetzwerk HN, 
generiert werden konnen. 

Das Verwenden von Filteranweisungen FW ist in diesem Zusam- 
menhang vorteilhaft, da dies eine Vergebiihrung in Abhangxg- 
keit vom ubertragenen Inhalt, z.B. von den Nutzdaten ND, er- 
moglicht. So konnen Zugriffe auf einen Presence-Server sepa- 
rat erfasst werden, in dem die Adresse des Presence-Servers 
gefiltert wird. Es ist auBerdem fur die Praxis vorteilhaft, 
dass die Vergebiihrung nicht von dem darunter liegenden Trans- 
portnetzwerk, wie beispielsweise GPRS, abhangig xst. Das 
Erstellen von Datensatzen, wie z.B. dem ersten Datensatz DSl, 
zum Erfassen des Datenauf kommens geschieht lediglich in exnem 
Netzwerkelement vom Typ Daten-Gateway, wie im Ausfiihrungsbex- 
spiel in dem zweiten Netzwerkelement NW2. Ein darunter Ixe- 
gendes GPRS-Transportnetzwerk wird moglicherweise dxe Verbxn- 
dung zwischen der Kommunikationsexnheit KE und dem ersten 
Netzwerkelement NWl, das direkt zum zweiten Netzwerkelement 
NW2 fiihrt, gebiihrenfrei anbieten. Die Vergebiihrung lauft dann 
auch im Fall von GPRS lediglich uber das zweite und/oder 
dritte Netzwerkelement NW2 bzw. NE3. Das GPRS-Transportnetz- 
werk muss dadurch keine Vergebuhrungsfunktion bereitstellen. 
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1 . 9 Erweiterungen und Variationen 

Eine mogliche Erweiterung des Ausfiihrungsbeispiels wird mit 
Hilfe von Figur 1 und Figur 2 naher erlautert. Hierzu wird 
zunachst eine zusatzliche modifizierte zweite Verbindung V2M 
zwischen dem ersten Netzwerkelement NW1 und dem zweiten Netz- 
werkelement NW2 in die Architektur von Figur 1 eingefiigt. 
Diese modifizierte zweite Verbindung V2M ermoglicht dem zwei- 
ten Netzwerkelement NW2 dem ersten Netzwerkelement NW1 mitzu- 
teilen, wenn dieses die erste Verbindung VI zwischen der Kom- 
munikationseinheit KE und dem ersten Netzwerkelement NW1 
trennen soil. Schlagt beispielsweise die Authentif iziexung 
der Kommunikationseinheit KE fehl, so kann das zweite Netz- 
werkelement NW2 das erste Netzwerkelement NW1 anweisen, die 
erste Verbindung VI zu trennen und somit die durch diese ers- 
te Verbindung VI belegte Funkressource wieder freizugeben. 
Dazu sendet das zweite Netzwerkelement NW2 nach Ubermittlung 
der zehnten Nachricht N10 eine zwolfte Nachricht N12 an das 
erste Netzwerkelement NW1, urn damit das erste Netzwerkelement 
NW1 aufzufordern die erste Verbindung VI zu trennen. Die 
zwolfte Nachricht N12 beinhaltet eine eindeutige Identifizie- 
rung der zu trennenden Verbindung, wie zum Bei spiel die erste 
Verbindung VI . 

Gemaft einer Erweiterung des erf indungsgemaflen Verfahrens ver- 
gibt das erste Netzwerkelement NW1 bei Beginn der Konfigura- 
tion einer neuen Kommunikationsverbindung eine Verbindungs- 
identitat VID. Die Konf iguration einer Kommunikationsverbin- 
dung bedeutet hierbei das Aufbauen einer oder mehrerer Ver- 
bindungen zwischen den jeweiligen Netzwerkelementen NEE und 
der Kommunikationseinheit KE, damit diese Kommunikationsein- 
heit KE eine oder mehrere Anf ragenachrichten AN an eine zwei- 
te Netzwerkeinheit NW2 schicken kann. Es konnen mehrere Kom- 
munikationsverbindungen gleichzeitig fur eine Kommunikations- 
einheit KE bestehen. Beispielsweise bestehen gleichzeitig fur 
jeweils drei verschiedene Nutzeridentitaten NID einer Kommu- 
nikationseinheit KE jeweils drei verschiedene Kommunikations- 
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verbindungen. Diese Verbindungsidentitat VID identif iziert 
eindeutig eine Verbindung zwischen dem ers ten und zweiten 
Netzwerkelement NWl bzw. NW2 dieser neuen Kommunikationsver- 
bindung. Mit Hilfe der IP-Adresse (IP - Internet Protocol) 
der Kommunikationseinheit KE und dieser Verbindungsidentitat 
VID ist auch die Verbindung zwischen. der Kommunikationsem- 
heit KE und dem ersten Netzwerkelement NWl eindeutig identi- 
fizierbar . 

Das erste Netzwerkelement NWl iibermittelt diese Verbindungs- 
identitat VID zusammen mit der IP-Adresse IPA der Kommunika- 
tionseinheit KE in einer elften Nachricht Nil dem zweiten 
Netzwerkelement NW2 mit. Das zweite Netzwerkelement NW2 quit 
tiert den Empfang der elften Nachricht Nil mit einer vier- 
zehnten Nachricht N14. Diese Realisierungsvariante ist vor- 
teilhaft, da diese lediglich eine weitere Signalisierung zwi- 
schen dem ersten und zweiten Netzwerkelement NWl bzw. NW2 er- 
fordert. Die eindeutige Identif izierung dieser Kommunikati 
onsverbindung ist somit dem ersten und zweiten Netzwerkele- 
ment NWl bzw. NW2 bekannt. Dies ist in der Praxis zweckmaliig, 
da eine Kommunikationseinheit KE mehrere Kommunikationsver 
bindung mit einem ersten Netzwerkelement NWl unter derselben 
IP-Adresse IPA besitzen kann. Gibt das zweite Netzwerkelement 
NW2 die IP-Adresse IPA und die Verbindungsidentitat VID in 
der zwolften Nachricht N12 an, so erkennt das erste Netzwerk- 
element NWl eindeutig, welche Kommunikat ions verbindung bzw. 
Verbindung zwischen der Kommunikationseinheit KE und dem ers^ 
ten Netwerkelement NWl zu trennen ist. Das erste Netzwerkele- 
ment NWl quittiert den Empfang der zwolften Nachricht N12 
mittels einer dreizehnten Nachricht N13. 

Die zusatzliche Signalisierung mit der elften und vierzehnten 
Nachricht Nil bzw. N14 kann aufierdem noch dazu genutzt wer 
den, eine GPRS - Vergebtihrungs information an das zweite Netz- 
werkelement NW2 zu senden. Das zweite Netzwerkelement NW2 
kann die GPRS - Vergebiihrungsinf ormation zu einem Oder mehre 
ren Datensatzen DS1 bzw. DS2 des zweiten Netzwerkelementes 
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NW2 hinzufiigen und diese an die Auswerteeinheit AWE ubermit- 
teln. Die Auswerteeinheit AWE kann die Datensatzen DS1 bzw. 
DS2 mit der Vergebuhrungsinf ormation des GPRS - Transport- 
netzwerks, zum Beispiel mit einer Vergebuhrungsf unktion, kor- 
relieren und daraus eine Abrechung der Verbindungsgebiihren 
fur die Kommunikationseinheit KE erstellen. 

Alternativ zur Verwendung einer Verbindungsidentitat VID kann 
ein IPSec-Tunnel IIP (IPSec - Internet Protocol Security) be- 
nutzt werden. Beispielsweise kann dies mittels der Verwendung 
der IPSec-Technologie wie in IETF RFC 2401, "Security Archi- 
tecture for the Internet-Protocol" geschehen. Diesem IPSec- 
Tunnel IIP wird eine Identitat zugeordnet. Zur Trennung der 
Verbindung zwischen der Kommunikationseinheit KE und dem ei;s- 
ten Netzwerkelement NW1 ubertragt das zweite Netzwerkelement 
NW2 dem ersten Netzwerkelement NW1 lediglich diese Identitat 
des IPSec-Tunnels IIP, Diese Identitat ist im ersten als auch 
zweiten Netzwerkelement NW1 bzw. NW2 eindeutig bekannt. Das 
erste Netzwerkelement NW1 kennt die Abbildung der Identitat 
des IPSec-Tunnels IIP zu der dazugehorigen Verbindung zwi- 
schen dem ersten Netzwerkelement NW1 und der Kommunikations- 
einheit KE. 

Ftir diese Losung wird jeweils ein IPSec-Tunnel zwischen dem 
ersten und zweiten Netzwerkelement NWl bzw. NW2 fur jede Kom- 
munikationsverbindung einer Kommunikationseinheit KE bereit- 
gestellt. Diese Alternative ist in der Praxis zweckmaflig, da 
keine zusatzliche Signalisierung benotigt wird, urn dem zwei- 
ten Netzwerkelement NW2 diese Identitat des IPSec-Tunnels 
mitzuteilen. Die elfte bzw. vierzehnte Nachricht Nil bzw. N14 
werden hierbei nicht benotigt. 

Nach erf olgreicher Trennung der ersten Verbindung VI zwischen 
der Kommunikationseinheit KE und dem ersten Netzwerkelement 
NWl, die durch die zwolfte Nachricht N12 durch das zweite 
Netzwerkelement NW2 veranlasst wurde, schickt das erste Netz- 
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werkelement NW1 eine Bestatigungsnachricht H13 an das zweite 
Netzwerkelement NW2 zuriick. 

2. Zweites Ausfuhrungsbe i spiel 
2 1 vnrrich tunq und Aufbau 

in einen, weiteren AusfuhrWbeispiel wird eine A"ernative 
sur Authentifizierung und Sicberung der Integrity 
ra unikationseinheit KE -it Hilfe eines zweiten 
tes NW2 beschrieben. Ein zweites Hetzwerkelement NW2 kann n 
Form eines Daten-Gatewayz realisiert werden. In Fxgur 4 zst 
eine mSgliche Vorrichtung zur Dnrchfuhrung dieses Ausfuh- 
rungsbeispiels dargestellt. Die Ko-munikationsexnhext KE be 
findet sich in einem besuchten Ketzwerk VB. Erne Oder mehrere 
N ac„richten konnen mit Hilfe der SIP-Syntax ^l'-^™^ 
tiation Protocel) gebildet werden, siehe IETF RFC 3261, SIP 
Initiation Protocol". 

Die Kommunikationseinheit KE ist mit einem ersten Netzwerk- 
element NW1 im gesuchten Netzwerk VN uber eine e " te V ^"" 
dung VI verbunden. Diese erste Verbindung VI wxrd mxt Hxlfe 
der Prozedur .it eine, Namen "PDP Context Activation Procedu- 
re" aufgebaut, wie sie in 3GPP TS 23.06.0 Versxon 5.3 0 be- 
schrieben ist. So.it wird diese erste Verbindung VI 
ersten PDP-Kontext realisiert. Wahrehd des Aufbaus dxeser 
ersten Verbindung VI wird festgelegt, dass diese l^xglxch 
fur den Austausch von Nachrichten zwischen der Kommunxkatx- 
onseinheit KE und dem zweiten Netzwerkelement NW2 -rwendet 
werden darf . Alls Nachrichten, die auf dieser ersten Verbxn- 
dung VI gesendet werden, werden automatisch von dem ersten 
Netzwerkelement NW1 uber eine zweite Verbindung V2 an exn 
zweites Netzwerkelement NW2 weitergeleitet . Das zwexte Netz- 
werkelement NW2 hat eine vierte Verbindung V4 in exn of fent- 
liches, paket-orientiertes Netzwerk PN. Zusatzlich hat das 
zweite Netzwerkelement NW2 eine dritte Verbindung V3 zu exnem 
SIP-Proxy PCS. Dieser SIP-Proxy PSC befindet sxch dabex xmmer 
im gleichen Netzwerk wie das erste Netzwerkelement NWl xn 
diesem Ausfuhrungsbeispiel also im besuchten Netzwerk VN. 
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AuBerdem wird mit Hilfe der Prozedur mit dem x 'Namen PDP Con- 
text Activation Procedure" eine weitere Verbindung mit einem 
Naraen fiinfte Verbindung V5 zwischen der Koramunikationseinheit 
KE und dezr ersten Netzwerkelement NW1 aufgebaut. Diese fiinfte 
Verbindung V5 wird mittels eines zweiten PDP-Kontexts reali- 
siert. Diese fiinfte Verbindung V5 wird hauptsachlich fur den 
Austausch von SIP-Nachrichten verwendet. AuJJerdem ist das 
erste Netzwerkelement NW1 tiber eine secliste Verbindung V6 mit 
dem SIP-Piroxy PCS verbunden, der zusatzlich eine siebente 
Verbindung V7 zu dem zweiten SIP-Proxy SCS unterhalt. Ober 
die fiinfte und sechste Verbindung V5 bzw. V6 werden lediglich 
Nachrichten ohne Nutzdaten ND zwischen der Kommunikationsein- 
heit KE und dem SIP-Proxy PCS ausgetauscht . Der zweite SIP- 
Proxy SCS befindet sich immer im Heimnetz HN der Kommunikati- 
onseinheit KE und hat unter anderem die Funktion eines SIP- 
Registrars, siehe IETF RFC 3261, "SIP Initiation Protocol". 
Der zweite SIP-Proxy SCS verfiigt iiber eine zehnte Verbindung 
V10 mit dear Datenbank HSS. Urn SIP-Nachrichten auch mit einer 
Oder mehrejtren Kommunikationseinheiten KE im of fentlichen, pa- 
ket-orientierten Netzwerk PN auszutauschen, ist der zweite 
SIP-Proxy SCS mit einer neunten Verbindung V9 mit diesem of- 
fentlichen, paket-orientierten Netzwerk PN verbunden, 

Mit Hilfe von Figur 5 werden die Nachrichten zum Austausch 
fur die Authentif izierung und Sicherung der Integritat sowie 
Verteilung eines oder mehrerer Schliissel gemafl diesem Ausfiih- 
rungsbeispiel naher erlautert. Zur Benutzung eines oder meh- 
rerer IMS-Dienste (IMS - IP Multimedia Subsystem) registriert 
sich eine Kommunikationseinheit KE zunachst im IMS-Netz . Der 
Ablauf zur Registrierung ist in den Dokumenten IETF RFC 32 61 
und 3GPP TS 24.229, Version 5.2.0, "IP Multimedia Call 
Control Protocol based on SIP and SDP" detailliert beschrie- 
ben. Zusatzlich sind in dem Dokument 3GPP TS 24.228 "Signa- 
ling Flows for the IP Multimedia Call Control based on SIP • 
and SDP" Beispiele fur den Nachrichtenaustausch zu finden. 
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£SE222L-* ke ^ t ~ ------ 

„ a =hs t eine Anfragenachricht AH mit sine* NMen " din SIP- 
uber die funfte und sechste Verbindung V5 bzw. V6 an dan SIP 
Proxy PCS . Dieser laitat diasa Anfragenachricht AH an dan 
zweiten SIP-Proxy SCS i» Heimatnetzwerk HH mittels ezner 
fatten Hachrieht H2 waiter. Sowohl dia Anfragenachricht AH 
lis Ich dia ^ Hachrieht H2 enthalten dia ~dant,- 
HID Dia fflr dia Authentiflzierung zu varwandanda Mutzer 
identitftt HID ist, wie in dan Dokumenten IETF EEC 33X0 und 
IETF RFC 2617 beschrieben, in dar Jawailigan Hachrieht AN 
Z H2 in einer Informationszeile .it eine*, Hainan "Author!- 
zation" enthalten. 

2.3 N ut zungs information 

Aufgrvind dieser Hutzirldentitat HID erfragt dar zweite SIP 
r^xy SCS nun It Hilfe ainar drittan Hachrieht »3 eine^der 
mehrere Hutzungsinformationen NI von dar Datenbank ass ab 
Pttr dia weitere Batrachtung wird zwischen zwei varschiedenen 
zweiten Schlusseln SP2P und SP2H unterschieden "» _ 
,„lt. SchXOssel wird im Folgenden aXs zweiter ^" S ^ S 
S el SP2P bazeichnat. Diasar u-nfasst mindestens einen Sehlus 
sal ztxr Authentifizierung und Sicbarung dar Integntat sowie 
Lr versohiussexun, dar varbindung zwischan dar — ikati 
onsainhait KE und dez, SIP-Proxy PCS und ist rur den ^™ 
PCS besting. Der andere zweita Schlussel wird n. 
axe zweiter HetzwerkschXUssel SP2N bezeichnet. Dieser umfasst 
mi „destens einen SchXUssel zur Sicbarung der 
f U r die Verschlusselung dar verbindung zwischen der ^unx 
katio.seinheit KE und da* zweiten Hetzwerkelement HW2 und zst 
f ttr das zweite Hetzwerkelement HW2 bestinont. In. Folgenden 
„ird davon ausgagangen, dass genau ein zweitar ^"" erk - 
schlussel SP2« und ain zweitar Proxy-SchlOssel SP2P exxstie 
ran. Nach Empfang der dritten Hachricht H3 antwortet die Da 
tenbank HSS mit ainar vierten Hachricht H4, die eine Oder 
m ehrere Hutzungsinformationen HI enthalt. Erne Oder mehrere 
Hutzungsinformationen HI umfassan hierbai den zweiten Proxy 
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Schliissel SP2P und die Herausf orderung HEF, die zur Authenti- 
fizierung an die Kommunikationseinheit KE in einem spateren 
Schritt iibermittelt wird. Der zweite SIP- Proxy SCS sendet nun 
diese Nutzungsinforniationen NI in einer funften Nachricht N5 
mit einem Namen "401 Unauthorized" an den SIP- Proxy PCS. Die- 
se fxinfte Nachricht N5 umfasst sowohl den zweiten Proxy- 
Schliissel SP2P als auch die Herausf orderung HEF, die beide 
zur Authentif izierung der Kommunikationseinheit KE zwischen 
der Kommunikationseinheit KE und dem zweiten SIP- Proxy SCS 
verwendet werden. Der zweite Proxy-Schliissel SP2P als auch 
die Herausf orderung HEF werden gemafc der Dokumente IETF RFC 
3310 und IETF RFC 2 617 in eine Informations zeile mit einem 
Namen X> WWW -Authenticate" in der funften Nachricht N5 einge- 
fiigt. Der SIP-Proxy PCS entnimmt der funften Nachricht N5 den 
Proxy-Schliissel SP2P zur Sicherung der Integritat und Ver- 
schlusselung und sexidet diese modifizierte Nachricht in Form 
einer sechsten Nachricht N6 an die Kommunikationseinheit KE 
weiter. Die Kommunikationseinheit KE generiert nun aufgrund 
der Informationen in der Herausf orderung HEF einen ersten 
Schliissel, der im Folgenden als erster Proxy-Schliissel SP1P 
bezeichnet wird, und der zur Sicherung der Integritat und 
Verschliisselung eingresetzt wird. Aufierdem erstellt die Kommu- 
nikationseinheit KE mit dem ersten Proxy-Schlussel SP1P eine 
Antwort AGH auf die Herausf orderung HEF. 

2.4 Modifizierte Anf ragenachricht 

Anschliefiend sendet die Kommunikationseinheit KE eine modifi- 
zierte Anf ragenachricht ANM mit einem Namen "Register" an den 
SIP-Proxy PCS. Diese modifizierte Anf ragenachricht ANM ent- 
halt die Antwort AGH auf die Herausf orderung. Gemafc den Doku- 
menten IETF RFC 3310 und IETF RFC 2617 enthalt diese modifi- 
zierte Anfragenachricht ANM diese Antwort AGH in einer Infor- 
mationszeile mit eixiem Namen "Authorization". Aufierdem wird 
die Integritat dieser modif izierten Anfragenachricht ANM mit 
Hilfe des generierten ersten Proxy-Schliissels SP1P siclrerge- 
stellt . 
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Der SIP-Proxy PCS pruft nun mit Hilfe des, von dem zweiten 
SIP-Proxy SCS empfangenen, zweiten Proxy-Schlussels SP2P, ob 
die modifizierte Anf ragenachricht ANM nach seiner Erstellung 
durch die Kommunikationseinheit KE verandert wurde. Wenn sxch 
nach der Priifung der Integrity herausstellt, dass die Integ- 
rity in Ordnung iat, sendet der SIP-Proxy PCS diese modxfx- 
zierte Anfragenachxricht ANM in Form einer achten Nachricht N8 
an den zweiten SIP-Proxy SCS weiter. 

Der zweite SIP-Proxy SCS pruft anhand der Antwort AGH auf die 
Herausforderung HEF, ob die Kommunikationseinheit KE autorx 
siert ist, sich am IMS-Netz zu registrieren . Falls dxe Uber 
priifung ergibt, dass die Kommunikationseinheit KE dazu be- 
reohtigt ist, teilt der zweite SIP-Proxy SCS mit Hilfe einer 
neunten Nachricht N9 der Datenbank HSS mit, dass die Kommunx- 
kationseinheit KE nun registriert ist. 

2 5 Weitere Nutzung-sinformation 

Die Datenbank HSS sendet daraufhin eine oder mehrere weitere 
Nutzungsinformationen NIW mittels einer zehnten Nachricht N10 
an den zweiten SIP-Proxy SCS. Eine oder mehrere weitere Nut- 
zungsinformationen NIW umfassen beispielsweise den zwexten 
Netz-Schliissel NP2N, der zur Sicherung der Integritat und fur 
die Verschlusselung fur die Verbindung zwischen der Kommunx- 
kationseinheit KE und dem zweiten Netzwerkelement NW2 exnge- 
setzt wird. Aufierdem sind eine oder mehrere Filteranweisungen 
FW enthalten, die zur Filterung des Nachrichtenverkehrs von 
dem zweiten Netzwerkelement NW2 benutzt werden. Alternatxv 
Z ur tibermittlung weiterer Nutzungsinformationen NIW mxttels 
der zehnten Nachricht N10 konnen diese weiteren Nutzungsin- 
formationen NIW bereits mittels einer oder mehrere Nutzungs- 
informationen NI mit der vierten Nachricht N4 ubertragen wor- 
den sein. Eine oder mehrere Filteranweisungen FW werden gemaA 
dem vorherigen Ausf uhrungsbeispiel erstellt. 

in einem nachsten Schritt sendet der zweite SIP-Proxy SCS ei- 
ne elfte Nachricht Nil mit einem Namen "200 OK" an den SIP- 
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Proxy PCS. Diese elfte Nachricht Nil umfasst einen Oder meh- 
rere zweite Netz-Schlussel SP2N zur Sicherung der Integritat 
und ftir die Verschlusselung, die von dem zweiten Netzwerkele- 
ment NW2 verwendet werden. Aufcerdem umfasst diese elfte Nach- 
richt Nil zusatzliche Informationen^ die die Kommunikations- 
einheit KE benotigt, um ihrerseits einen ersten Netz-Schliis- 
sel SPIN zu berech.net. Jeweils ein erster Netz-Schlussel SPIN 
und jeweils ein zweiter Netz-Schlussel SP2N bilden ein zusam- 
mengehoriges Schlusselpaar SCP zur Sicherung der Verbindung 
zwischen dem zweiten Netzwerkelement NW2 und der Kommunikati- 
onseinheit KE. 

Alternativ kann anstelle von unterschiedlichen Schlusseln fur 
die jeweilige Verbindung zwischen der Kommunikationseinheit 
KE und dem zweiten Netzwerkelement NW2 und zwischen der Kom- 
munikationseinheit KE und dem SIP-Proxy PCS ein gemeinsanies 
Schlusselpaar SCP verwendet werden. 

2.6 Nutzeridentitat 

Einer Kommunikationseinheit KE konnen mehrere Nutzeridentita- 
ten NID zugeordnet werden. Hierbei ist es in einer vorteil- 
haften Erweiterung in der Praxis zweckma£ig, jeweils einem 
Oder mehreren Schlussel zusatzlich jeweils eine Oder mehrere 
Nutzeridentitaten zuzuordnen, mit denen der jeweilige Schltis- 
sel verwendet werden darf . Das zweite Netzwerkelement NW2 
kann den Austausch von Nachrichten zwischen der Kommunikati- 
onseinheit KE und dem zweiten Netzwerkelement NW2 unter Ver- 
wendung einer bestimmten Nutzeridentitat, wie z.B. die erste 
Nutzeridentitat NIDI, erlauben bzw. unter einer anderen Nut- 
zeridentitat, wie z.B. die erste Nutzeridentitat NID2, abwei- 
sen. So ist die Erstellung unterschiedlicher Nutzerprof ile 
fur eine Kommunikationseinheit moglich. 

Der SIP-Proxy PCS entnimmt der elf ten Nachricht Nil den zwei- 
ten Netz-Schlussel SP2N und alle Filteranweisungen FW. Anhand 
des Namens "200 OK" dieser elf ten Nachricht Nil erkennt der 
SIP-Proxy PCS, dass die Authentif izierung erfolgreich war. 
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Der SIP-Proxy PCS sendet diese modifizierte elfte Nachricht 
Nil als vierzehnte Nachricht N14 an die Kommunikationseinheit 
KE Mit Hilfe der in dieser vierrzehnten Nachricht N14 enthal- 
tenen Informationen berechnet d±e Kommunikationseinhext KE 
nun ihrerseits einen ersten Netz-Schlussel SPIN zur Sicherung 
der Integritat und fur die Verschlusselung. Dieser erste 
Netz-Schlussel SPIN wird fur den Nachrichtenaustausch zwi- 
schen der Kommunikationseinheit KE und dem zweiten Netzwerk- 
element NW2 verwendet. Des Weiteren Ubergibt der SIP-Proxy 
PCS seinen Netz-Schlussel SP2N, sowie alle Filteranweisungen 
FW, mit Hilfe einer zwolften Nachricht N12 an das zwexte 
Netzwerkelement NW2, welches den Empfang mit einer drexzehn 
ten Nachricht N13 bestatigt. 

2.7 Nachrichtenaustausch 

im Folgenden konnen die Kommunilcationseinheit KE und die 
zweite Netzwerkelement NW2 Nachrichten gegenseitig austau 
schen. Dies wird mit Hilfe vcn Figur 6 naher erlautert. Dxe 
Kommunikationseinheit KE schickt eine Anf ragenachricht AN an 
das zweite Netzwerkelement NW2 . Diese Anf ragenachricht AN 
enthalt die Nutzeridentitat NID und die gewunschte Empfanger- 
adresse EA, von der Nutzdaten ND angefordert werden. Fur den 
Fall, dass das HTTP-Protokoll verwendet wird, handelt es sich 
bei dieser Anf ragenachricht AN urn einen HTTP-Request. Dxese 
Anfragenachricht AN ist mit Hilfe eines ersten Netz- 
Schlussels SPIN zur Sicherung der Integritat gesichert und 
kann verschlusselt sein. Das zweite Netzwerkelement NW2 xst 
in der Lage, mit einem seiner Netzwerk-Schliissel SP2N dxe 
empfangene Anfragenachricht AN zu entschliisseln und zu pru- 
fen, ob diese Anfragenachricht AN nach dem Erstellen durch 
die Kommunikationseinheit KE geandert wurde. Das zweite Netz- 
werkelement NW2 pruft daraufhin, ob die gesendete Nutzerxden- 
titat NID zusammen mit dem benutzten ersten Netz-Schlussel 
SPIN bzw. dem entsprechenden zwelten Netz-Schlussel SP2N ver- 
wenden darf, und somit die Kommunikationseinheit KE autorx- 
siert ist, eine oder mehrere Nachrichten zu senden. 
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Im Falle, dass die Kommunikationseinheit KE zum Senden von 
einer Oder rnehreren Nachrichten berechtigt ist, priift das 
zweite Netzwerkelement NW2 weiterhin mit Hilfe der von dem 
SIP-Proxy PCS empfangenen Filteranweisungen FW, ob die Kommu- 
nikationseinheit KE unter der von ihr benutzten Nutzeridenti- 
tat NID auf die in der Anf ragenachricht AN enthaltenen Emp- 
fangeradresse EA zugreifen darf . 1st dies der Fall, so leitet 
das zweite Netzwerkelement dlese Anf ragenachricht AN in Form 
einer sechzehnten Nachricht N16 an die entsprechende Erapfan- 
geradresse EA weiter. Aufierdem uberpruft das zweite Netzwerk- 
element NW2, ob es eine oder mehrere Datensatze zum Datenauf- 
kommen fur den Zugriff auf d±e gewiinschte Empf angeradresse EA 
anlegen soil. Das Anlegen eines oder mehrere Datensatze ent- 
spricht dabei der Prozedur, wie sie in dem vorhergehenden 
Ausfuhrungsbeispiel beschrieben ist. 

Fur den Fall, dass die Kommunikationseinheit KE nicht autori- 
siert ist, unter der genannten Nutzeridentitat NID Nachrich- 
ten mit dem zweiten Netzwerkelement NW2 auszutauschen oder 
unter der genannten Nutzeridentitat NID gemaB einer oder meh- 
rere Filteranweisungen FW nicht auf die gewiinschte Empfanger- 
adresse EA zugreifen darf, sendet das zweite Netzwerkelement 
NW2 eine achtzehnte Nachricht N18 an die Kommunikationsein- 
heit KE zuruck. Diese achtzelinte Nachricht N18 teilt der Kom- 
munikationseinheit KE mit, dass diese nicht autorisiert ist, 
unter der genannten Identitat NID auf die genannte Empfanger- 
adresse EA zuzugreifen. 

SchlieJilich konnen ein oder mehrere Datensatze uber eine ach- 
te Verbindung V8 zur Auswertung an eine Auswerteeinheit AEW 
ubermittelt werden. 

3. Drittes Ausfuhrungsbeispiel - 

Assoziation von SIP-Signalisierung und Nachrichten 

Gemafi einer Erweiterung des erfindungsgemafien Verfahrens wird 
im folgenden Ausfuhrungsbeispiel beschrieben, wie eine oder 
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mehrere Nachrichten mit Nutzdaten ND mschen einer Kommunx- 
kationseinheit KE und einera zweiten Netzvrerkelement NW2 mxt 
einer Signalisierungs-Transaktion assozii-ert werden konnen^ 
Es wird hierzu angenommen, dass die Kommunikationseinheit KE 
bereits am IMS-Netz registriert ist und so.it sowohl die Au- 
thentifizierung erfolgreich abgeschlosserx wurde als auch dxe 
entsprechenden Schlussel zur Sicherung der Integrxtat fur dxe 
Verschlusselung im zweiten Netzwerkelement NW2 und an der 
Kommunikationseinheit KE vorhanden sind. Mit Hilfe von Fxgur 
7 wird der Nachrichtenf luss fur dieses Ausfuhrungsbexspxel 
naher erlautert. Neben den aus Figur 4 bekannten Netzwerkele- 
aenten wird fur dieses Ausfuhrungsbeispiel ein neues Netz- 
werkelement mit einem Namen Anwendungsserver AS exngefuhrt 
Bei dem Anwendungs server AS handelt es sicb in diesem Ausfuh- 
rungsbeispiel um einen Presence-Server. 

Dieser Anwendungs server AS soli die Kommunikationseinheit KE 
uber die Anderung einer Prasenz-Inf ormati on einer wexteren 
Kommunikationseinheit, moglicherweise Kor^unikationsexnhext 
KE2, unterrichten. Bei der Verwendung des SIP-Protokolls zur 
Signalisierung, benutzt in diesem Fall der Anwendungsserver 
AS eine SIP-Naohricht mit einera Namen "Notify" . Hxerbex xst 
es zweckmafiig, dass die SIP-Naohricht mit einem Namen Notx- 
fy" zusatzlich die aktuellen Prasenz-Inf ormationen PI ent- 
halt. Wenn diese Prasenz-Inf ormationen PI sehr groA sxnd xst 
es in der Praxis vorteilhaft, diese nicht uber die g^xche 
Verbindung zu ubermitteln, wie die sonstigen SIP-Nachrxchten, 
um damit einen oder mehrere SIP-Proxys, wie zum Bexspxel 
Proxy PCS oder zweiter SIP-Proxy SCS, nicbt zu uberlasten. 

, 4- nnr-a-Fl-—TFTS-SIP-CONTENT — INDIRECT -MECH— 

Hierzu ist im Dokument "Draft-IETS b±f ^ 
00", "A mechanism for content indirection in SIP-messages , 
siehe www.ietf.org, ein mogliches Verfahren beschrieben, mxt 
dem eine Kommunikationseinheit auf eine Exnpf angeradresse dxe 
eine oder mehrere Nutzdaten ND enthalt, uxngeleitet wxrd. Dxe- 
se Nutzdaten ND entsprechen in diesem Aus ± 

aktuellen Prasenz-Inf ormationen PI. Dazu ±st exne Umlextungs 
information UNI in der SIP-Nachricht enthaHten. Diese umfasst 
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beispielsweise eine umgeleitete Empfangeradresse UEA, wo die- 
se Prasenz-Informationen PI zu finden sind. Aufierdem gibt sie 
an, mit welchem Protokoll, zum Beispiel HTTP, diese Prasenz- 
Informationen PI abgefragt werden soli ten. 

Zunachst schickt der Anwendungs server AS mit Hilfe einer ers- 
ten . Nachricht Nl an den zweiten SIP-Proxy SCS die Umleitungs- 
information UNI, die auch anzeigt, dass Prasenz-Informationen 
PI einer zweiten Koramunikationseinheit KE2 auf einer umgelei- 
teten Empfangsadresse UEA verfugbar ist. Diese Prasenz- 
Informationen PI sind fur die Kommunikationseinheit KE be- 
stimmt. Der zweite SIP-Proxy SCS erweitert diese erste Nach- 
richt Nl mit einer Erf assungsidentitat EI. Die Erf assungs- 
identitat EI identif iziert eindeutig eine SIP-Transaktion, 
also in diesem Fall die Benachrichtigung der Kommunikations- 
einheit KE fiber die Prasenz-Informationen PI der zweiten Kom- 
munikationseinheit KE2. Es ist moglich, diese Erf assungsiden- 
titat EI mit Hilfe einer Informationszeile mit einem Namen 
"Media-Authorization" (siehe IETF RFC 3310) in einer Nach- 
richt zu signalisieren. Diese Erf assungsidentitat EI teilt 
mit, dass diejenigen Nachrichten separat erfasst werden. sol- 
len, die aufgrund der in dieser ersten Nachricht Nl enthalte- 
nen Umleitungs information UNI zwischen der Kommunikationsein- 
heit KE und dem zweiten Netzwerkelement NW2 ausgetauscht wer- 
den sollen. 

Im nachsten Schritt sendet der zweite SIP-Proxy SCS diese er- 
weiterte Nachricht in Form einer zweiten Nachricht N2 an den 
SIP-Proxy PCS. Diese zweite Nachricht N2 umfasst die Umlei- 
tungsinformation UNI und die Erf assungsidentitat EI. Weiter- 
hin kann der zweite SIP-Proxy SCS auch die Anzahl der erlaub- 
ten Zugriffe und/oder die Zeitdauer, in der die Zugriffe auf 
die umgeleitete Empfangeradresse UEA exrlaubt sind, festlegen. 
Aufcerdem legt der zweite SIP-Proxy SCS einen Datensatz DS an, 
der spater fur die Steuerung und Ausweirtung des Nachricliten- 
verkehrs verwendet werden kann. Dieser Datensatz DS umfasst 
vorzugsweise folgende Datensatzelemente : 
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- Art der Nachricht vom Anwendungs server AS, zum Bei spiel 
SIP-Nachricht vom Typ "Notify" oder "Info"; 

- umgeleitete Empf anger adresse UEA, auf die in der jeweili- 
gen Nachricht verwiesen wurde; 

- Erf assungsidentitat EI; 

- Nutzeridentitat NID; 

Alternativ kann anstelle des zweiten SIP-Proxys SCS auch be- 
reits der Anwendungs server AS einen Datensatz DS anlegen und 
die Erf assungsidentitat EI erstellen. 

Der SIP-Proxy PCS leitet die zweite Nachricht N2 in Form ei- 
ner dritten Nachricht N3 an die Kommunikationseinheit KE wei 
ter Parallel dazu iibermittelt der SIP-Proxy PCS eine vierte 
Nachricht N4 an das zweite Netzwerkelement NW2 . Diese vierte 
Nachricht N4 teilt dem zweiten Netzwerkelement NW2 mit, dass 
es den Nachrichtenverkehr mit der Kommunikationseinheit KE 
separat erfassen soil, falls in den Nachrichten der Kommuni- 
kationseinheit KE die Erf assungsidentitat EI enthalten ist. 
Dazu ist die Erfassungsidentitat EI und die umgeleitete Emp- 
fangeradresse UEA, auf die mittels dieser Erfassungsidentitat 
EI zugegriffen werden darf , in der vierten Nachricht N4 ent- 
halten. Dies ist in der Praxis vorteilhaft, da das zweite 
Netzwerkelement NW2 somit die Moglichkeit hat, Nachrichten an 
andere Empf angeradres sen als der umgeleiteten Empf angeradres- 
se UEA unter Zuhilf enahme dieser Erfassungsidentitat EI zu 
unterbinden. Aufierdem ist in der vierten Nachricht N4 die 
Nutzeridentitat NID enthalten, mit der die Kommunikationsein- 
heit KE Nachrichten mit dieser Erfassungsidentitat EI senden 
darf. 

Weiterhin kann diese vierte Nachricht N4 eine Wiederholungs- 
information enthalten, die angibt, wie oft die Kommunikati- 
onseinheit KE die Erfassungsidentitat EI verwenden darf. 
Falls Nachrichten auf der Verbindung zwischen der Kommunika- 
tionseinheit KE und dem zweiten Netzwerkelement NW2 verloren 
gehen, so kann mit Hilfe dieser wiederholungsinformation an 
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gegeben werden, wie oft die Kommunikationseinheit KE diese 
Nachricht wiederholt schicken darf . Damit wird eine mehrmali- 
ge Ubermittlung einer bestimmten Nachricht rait derseXben Er- 
fassungsidentitat EI ermoglicht. Dennoch wird die Moglich- 
keit, dass eine Kommunikationseinheit KE dieselbe Erfassungs- 
identitat EI fur zusatzliche Nachrichten nutzt, einge- 
schrankt. Diese Wiederholungsinf ormation kann auch bereits 
von dem zweiten SIP-Proxy SCS in der zweiten Nachricht N2 an 
den SIP-Proxy PCS ubergeben werden. 

Der SIP-Proxy PCS und das zweite Netzwerkelement NW2 befinden 
sich immer im gleichen Netzwerk, beispielsweise in Fd_gur 4 im 
besuchten Netzwerk VN. Wahrenddessen kann sich im Fall von 
"Roaming" der zweite SIP-Proxy SCS in einem anderen Netzwerk 
als die Kommunikationseinheit befinden, beispielsweise in Fi- 
gur 4 im Heimnetzwerk HN. Daher hat der SIP-Proxy PCS Kennt- 
nis daruber, welche Art von Verbindung, beispielsweise ver- 
lustbehaftet oder verlustlos, von dera zweiten Netzwerkelement 
NW2 unterstutzt und verwendet wird. 

Das zweite Netzwerkelement NW2 bestatigt nun den Empfang der 
vierten Nachricht N4 mit Hilfe einer fiinften Nachrichit N5. 
Die Kommunikationseinheit KE bestatigt den Empfang der drit- 
ten Nachricht N3 mit Hilfe einer sechsten Nachricht NF6. Nach 
Empfang dieser sechsten Nachricht N6 leitet der SIP-Proxy PCS 
diese Nachricht in Form einer siebten Nachricht N7 zuun zwei- 
ten SIP-Proxy SCS weiter, der anschliefiend diese siefc>te Nach- 
richt N7 in Form einer achten Nachricht N8 an den Anwendungs- 
server AS weiterleitet . Damit hat der Anwendungsserver AS 
Kenntnis, dass die Kommunikationseinheit KE Umleitungrsinf or- 
mationen UNI erhalten hat. 

Anschliefiend sendet die Kommunikationseinheit KE eine Anfra- 
genachricht AN an das zweite Netzwerkelement NW2, um eine o- 
der mehrere Nutzdaten ND von der in der dritten Nachzriclit N3 
angegebenen umgeleiteten Empf angeradresse UEA anzuforrdern. 
Wird fiir die Anf ragenachricht AN das HTTP-Protokoll verwen- 
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det handelt es sich urn einen HTTP-Request. Diese umfasst so- 
^ Tgeleiteten M» ™> * ls r^- 
leridentitat HID. Diese Hutzeridentitat "*» te- 
tragenacbricht AH, wie in IETF RFC 3310 und IE ^„^ ori . 
schrieben, in der Informationszeile mit eznem Hamen 
zation- enthalten. Zusstzlich wind die Erfassungszdentxtat 
in diese Anf ragenachricht AN integriert. 

Di ese Erzassungsidentitat EI fcann in einer ^f^ ^^ 
rung des Ausfuhrungsbeispiels bei Verwendung des HT ™ 
ProtoKblls f»r die Anfragenacbricht » in erne 
re nden Informationszeile mit einem Namen "Access Autbor.zatz 
on" enthalten sein. 

Das zweite Netzwerkelement NW2 prOft anhand der von den, SIP- 
"Ly PCS empfangenen Informational ob die Kommun i*™" 
elnbLt KE autorisiert ist, unter der in der Anf ragenachrzcbt 
AN enthaltenen Nutzeridentitat HID, auf die angegebene W - 
"en Empfangeradresse UEA unter Angabe der 
identity EI zuzugreifen. Nachdem die PrUfung den « 
aubt bat, leitet das zweite Netzwerkelement NW2 ^Aa « 
g.nacbricbt AM an die umgeleiteten Empf angeradresse UEA we, 
ter Dies geschieht in Form einer zehnten Nacbrzcht N10 . A» 
ZaZ erflst das zweite Hetzwer.ele.ent nnn den »ach~ch- 
tenaustausch aufgrund dieser Anf ragenachricht AN ^ 
zu legt das zweite Netzwerkelement einen zwezten 
7s2 an. der vorzugsweise folgende Datensatzelemente — t. 

- Erfassungs identitat EI ; v a - 

j nira auf die die KominuniKa 

- umgeleiteten Empf angeradresse UEA, aut 

tionseinheit KE zugreift; 

- Nut zer identitat NID; 

- Grofie aller Nachrichten; , Hon r-itat 

- Anzahl der Nachrichten, die unter der Erfassungsxdentxtat 

EI ausgetauscht wurden. 

Die Antwcrt auf die zehnte Nachricht .10 wird mittels einer^ 
elften Nachricht Ell an das zweite Netzwerkelement NW2 zuge 
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schickt. Diese elfte Nachricht Nil wird in dem zweiten Daten- 
satz DS2 erfasst und danach an die Kommunikationseinheit KE 
in Form einer zwolften Nachricht N12 weitergeleitet . 

Fur den Fall, dass die Kommunikationseinheit KE nicht autori- 
siert war, die Anfragenachricht AN an das zweite Netzwerkele- 
ment NW2 zu senden, schickt das zweite Netzwerkelement NW2 
eine dreizehnte Nachricht N13 an die Kommunikationseinheit KE 
zuruck. Diese dreizehnte Nachrichte N13 teilt mit, dass die 
Anfragenachricht AN nicht weitergeleitet wurde. Die zehnte, 
elfte und zwolfte Nachrichten N10 bzw. Nil bzw. N12 werden in 
diesem Falle nicht verschickt. 

3,1 Auswertungen der Datensatze 

In einera nachsten Schritt kann das zweite Netzwerkelement NW2 
diesen zweiten Datensatz DS2 zur Auswertung und Steuerung an 
eine Auswerteeinheit AWE, beispielsweise einem Ve r gebiih rungs- 
Center, zusenden. Zusatzlich kann auch der Datensatz DS an 
die Auswerteeinheit AWE ubermittelt werden. 

Mit Hilfe beider Datensatze DS und DS2 kann die Auswerteein- 
heit AWE nun die Nachrichten mit Signalisierungsinf ormation, 
also beispielsweise die SIP-Transaktionen, und die Nachrich- 
ten zwischen der Kommunikationseinheit KE und dem zweiten 
Netzwerkelement NW2 miteinander korrelieren. Die Erfassungs- 
identitat EI identif iziert hierbei diejenigen Nachrichten, 
die aufgrund einer bestimmten SIP-Transaktion generiert wur- 
den. Dies ist in der Praxis vorteilhaft, da diejenigen Nach- 
richten zwischen der Kommunikationseinheit KE und dem zweiten 
Netzwerkelement NW2, die durch SIP-Signalisierung angestoflen 
worden sind, anders ausgewertet, wie z.B. vergebuhrt, werden 
konnen als der sonstige Nachrichtenverkehr . Beispielswe±se 
konnen Nachrichten mit Nutzdaten ND, die Bilder Oder Inter- 
net-Seiten enthalten, mit einem hoheren Tarif belegt werden, 
als diejenigen Nachrichten, die durch die SIP-Signalisierung 
erzeugt wurden. Zusatzlich kann auch abhangig vom Datenvolu- 
men der ubertragenen Nachrichten ein Auswertekriterium abge- 
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leitet werden. Beispielsweise wird bei einer grofieren uber- 
tragenen Datenmenge der Preis pro ubertragene 
heit gunstiger. Daneben kann ein Auswertekriterxu* an a d 
Zugriffe auf bestimmte Empf angeradressen generxert So werden 
beispielsweise bestimmten Empf angeradressen kostenpflxchtxge 
Lufdienste zugeordnet, z.B. Abfrage einer T elefo_r *ex 
einer internetbasierten Telefonauskunft . Aufgrund dxeses Aus 
wahlkriteriums werden die Zugriffe auf diese bestxmmten Emp- 
fangeradressen It einer speziellen Vergebuhrung abgerechnet. 

Zusatzlich kann der mehrmalige Zugriff auf eine Empfangerad- 
resse unterschiedlich ausgewertet werden. Moglichwexse xst 
der erstmalige Zugriff auf eine bestimme Empf angeradr esse <ge- 
bixhrenfrei, wahrend jeder weitere Zugriff ^^ C ^. 
1st in der Praxis kann es auch zweckmaMg sexn, dxe Analyse 
der'ubertragenen Nachrichten von der libertragenen Nutzerxden- 
titat NID abhangig zu machen. Moglicherweise ist eine be- 
stimmte Nutzeridentitat NID einer bestimmten Applxkatxon AP 
zugeordnet, die kostenlos benutzt werden kann. 

Neben der Auswertung eines oder mehrere Datensatze zum Zweek 
der Vergebuhrung einer Kommunikationseinheit, kann dxe Aus 
werteeinheit AWE aufgrund dieser Auswertung auch den Nach-^ 
richtenverkehr innerhalb eines oder mehrerer Netzwerke steu- 
ern und/oder optimieren. Beispielsweise kann so exne **** 
geradresse eines Datenservers , der Nutzdaten enthalt, auf dxe 
haufig zugegriffen werden und die eine groAe zu ubertragende 
Datenmenge verursachen, herausgef iltert werden. In — " 
teren Schritt konnen diese Nutzdaten auf mehrere Datenserver, 
xnoglicherweise in unterschiedlichen Netzwerken, kopxert wer- 
den, urn so das zu ubertragende Datenvolumen besser zu vertex- 
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Patentanspriiche 

1 . Verfahren zur Steuerung und Auswertung eines Nachrichten- 
verkehrs einer Kommunikationseinheit (KE) durch eine erste 
Netzwerkeinheit (NE1) innerhalb eines Mobilfunksystems (MS) , 
indem alle Nachrichten des Nachrichtenverkehrs liber die erste 
Netzwerkeinheit (NE1) geschickt werden, 

indem durch die erste Netzwerkeinheit (NEl) mit Hilfe einer 
Oder mehrerer Nutzungsinf ormationen (NI) der Kommunikations- 
einheit (KE) entschieden wird, ob eine oder mehrere Nachrich- 
ten an eine zweite Netzwerkeinheit (NE2) zur Weiterbearbei- 
tung weitergeleitet oder abgeblockt werden r 

und indem durch die erste Netzwerkeinheit (NEl) mit Hilfe ei- 
ner oder mehrerer Nutzungsinf ormationen (NI) der Kommunikati- 
onseinheit (KE) entschieden wird, ob die jeweilige Nachricht 
des Nachrichtenverkehrs durch die erste Netzwerkeinheit (NEl) 
in einer Protokolldatei (PD) protokolliert wird. 

2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dass eine oder mehrere Nutzungsinf ormationen (NI) von einer 
Datenbank (HSS) abgerufen werden r die die Steuerung und Aus- 
wertung einer oder mehrerer Nachrichten des Nachrichtenver- 
kehrs der Kommunikationseinheit (KE) bestimmen. 

3. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass ein spezifischer Satz von Nutzungsinf ormationen (NI) je- 
weils einer Nutzeridentitat (NID) zugeordnet wird, wobei der 
spezifische Satz von Nutzungsinf ormationen (NI) zur Steuerung 
und Auswertung mindestens einer Nachricht des Nachrichtenver- 
kehrs der Kommunikationseinheit (KE) verwendet wird, 

4. Verfahren nach Anspruch 3, 
dadurch gekennzeichnet, 

dass die Nutzeridentitat (NID) einer Applikation (AP) der 
Kommunikationseinheit (KE) zugeordnet wird. 
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5. verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass in mindestens eine Nutzungsinformation (Ml) zumindest 
eine der folgenden Filteranweisungen (FN) eingefugt wird: 

- Eine Oder mehrere positive Empfangeradressen (PEA) , die 
fur die Kommunikationseinheit (MB) adressierbar sind; 

- Eine Oder mehrere negative Empfangeradressen (NEA) , die 
fur die Kommunikationseinheit (KB) nicht adressierbar 
sind; 

- Eine Oder mehrere zu protokollierende Empfangeradressen 
(XEA), die von der ersten Netzwerkeinheit (NE1) proto- 
kolliert werden. 

6. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass zu protokollierende Nachrichten des Nachrichtenverkehrs 
mit einer Erf assungsidentitat (NI) gekennzeichnet werden. 

7 . Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass durch die erste Netzwerkeinheit (NEl) die Protokolldatei 
(PD) mit Hilfe einer Protokollnachricht (PDN) zur Auswertung 
an eine Auswerteeinheit (AWE) weitergeleitet wird. 

8. Verfahren nach Anspruch 7, 
dadurch gekennzeichnet, 

dass durch die Auswerteeinheit (AWE) die in der Protokollda- 
tei (PD) protokollierten Nachrichten anhand mindestens emer 
der folgenden Kriterien ausgewertet wird: 

- Nutzdaten (ND) der Nachricht; 

- Empfangeradresse (EA) der Nachricht; 

- Anzahl der Zugrif fe auf die Empfangeradresse (EA) ; 

- Datenmenge; 4 .- 4 _ 3+ - 

- Nachrichten, die mit einer bestimmten Nut zeridentitat 

(NID) geschickt wurden; 
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- Nachrichten, die mit einer bestimmten Erf assungsidenti- 
tat (EI) geschickt wurden. 

- Korrelation von Nachrichten rait Signalisierungsinf orrna- 
tionen und/oder Nutzdaten (ND) . 

9. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Kommunikationseinheit (KE) zum Austausch von Nach- 
richten autorisiert wird, 

und dass zur Bereitstellung eines sicheren Nachrichtenver- 
kehrs ein oder mehrere Schlusselpaare (SCP) verwendet werden. 

10. Verfahren nach einem der vorhergehenden Anspruche, 
gekennzeichnet durch die Verwendung in einer Architektur nach 
einem IP-Multimedia Subsystem und mit Hilfe des Session Ini- 
tiation Protokolls. 

11. Verfahren nach einem der vorhergehenden Anspruche/ 
dadurch gekennzeichnet, 

dass die erste Netzwerkeinheit (NE1) durch eine Gruppe von 
Netzwerkelementen (NEE) realisiert wird. 

12. Erste Netzwerkeinheit (NE1) zur Steuerung und Auswertung 
eines Nachrichtenverkehrs einer Kommunikationseinheit (KE) 
innerhalb eines Mobil funksys terns (MS), insbesondere nach min- 
destens einem der vorhergehenden Anspruche, 

mit einer Empfangseinheit (EE2) , mittels der alle Nachrichten 
des Nachrichtenverkehrs der Kommunikationseinheit (KE) emp- 
fangbar sind, 

mit einer Sendeeinheit (SE2) , mittels der alle Nachrichten 
des Nachrichtenverkehrs absendbar sind, 

und mit einer Verarbeitungseinheit (VE2), mittels der ent- 
scheidbar ist, ob mindestens eine Nachricht des Nachrichten- 
verkehrs aufgrund einer oder mehrerer Nutzungsinf ormationen 
(NI) der Kommunikationseinheit (KE) an eine zweite Netzwerk- 
einheit (NE2) zur Weiterbearbeitung weitergeleitet oder abge- 
blockt wird, und mittels der entscheidbar ist, ob mindestens 
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